Das diesmonatige WPToronto Ost-Treffen konzentrierte sich auf Sicherheit und Datenschutz. Don Tai teilte eine eingehende Präsentation über die Bekämpfung von Spam in WordPress, die zu lebhaften Gesprächen über alle möglichen verwandten Themen anregte.
Vor Jahren wurde Don von seinem Hosting-Provider kontaktiert. Ihm wurde gesagt, dass seine Website zu viele Ressourcen verbraucht, obwohl es sich um einen einfachen persönlichen Blog handelt. Sie drohten sogar damit, seine Website zu schließen, wenn das Problem nicht behoben wurde.
Dort begann sein Kreuzzug gegen Kommentar-Spam.
Sie können die Folien herunterladen oder finden Sie die Takeaways unten.
Warum zielen Spammer auf Ihre Website ab?
Das kommt darauf an. Man kann nicht sagen, was ihre Absicht ist. Aber wir wissen, dass es alle Arten von Websites betrifft. Persönliche Blogs, Online-Shops, Firmen-Websites.... niemand ist davon ausgenommen, von Spammern getroffen zu werden.
Welche Arten von Spam gibt es?
Wir haben uns in der Präsentation drei Arten von Spam angesehen: Kommentieren Sie Spam, Referrer-Spam und Ghost-Spam.
Kommentar-Spam ist am offensichtlichsten. Don nannte "SEO-Marketing-Organisationen" besonders schlechte Täter. Sie hinterlassen Kommentare mit unsinnigen Texten und Links, die auf die jeweilige Website verweisen.
Wenn du ein Plugin wie dieses verwendest. Akismetwerden diese Kommentare markiert und in den Spam-Ordner auf Ihrem Kommentar-Bildschirm in WordPressgefiltert.
Referrer-Spam ist eine raffiniertere Form von SEO-Spamming. Die Spammer treffen Ihre Website mit einer gefälschten URL, die als Referrer definiert ist. Wenn die Suchmaschinen die Zugriffsprotokolle Ihrer Website durchsuchen, werden sie auch die gefälschten URLs durchsuchen.
Das Ziel von Referrer-Spam ist es, das Suchranking einer Website (irgendwie) zu erhöhen, indem man Backlinks aus den Zugriffsprotokollen der betreffenden Website erhält.
Ghost-Spam ist noch raffinierter. Beim Ghost-Spam verwenden die Spammer Ihre Google Analytics-ID (oft zufällig generiert) und treffen die GA-Server. Google korreliert die vom Spammer angegebene URL mit Ihrer Google Analytics-ID, so dass die URL in Ihren Google Analytics-Berichten angezeigt wird, obwohl der Spammer Ihre Website nie tatsächlich besucht hat. (Daher ist es ein Geist!)
Das Ziel ist es, Ihre Neugierde zu wecken und Sie zu diesen verdächtigen URLs durchzuklicken. Und während das schon schlimm genug ist, fügt die Tatsache, dass diese "Besuche" Ihre Verkehrszahlen künstlich aufblasen, der Verletzung eine kleine Beleidigung hinzu.
Verwandt: Stoppen Sie Ghost-Spam in Google Analytics (Moz)
Warum sollten wir uns um Spam kümmern?
Ihre Website kann von Google oder anderen Suchmaschinen für die Verknüpfung mit schlechten Websites bestraft werden.
Spam kann Ihre Analyseberichte künstlich aufblähen und wichtige Entscheidungen beeinflussen, die sich auf die Analysedaten stützen.
Spammer können Ihr Hosting unnötig belasten, was sich auf die Leistung Ihrer Website auswirkt (z.B. Ladezeiten) und Sie Geld kostet (z.B. für ein ressourcenintensiveres Hosting-Konzept).
In seinem Vortrag erwähnte Don, dass etwa 50% des gesamten Webverkehrs von Bots kommt. Davon sind etwa 30% bösartig. Was wären die Leistungssteigerungen, wenn Sie diese 30% des bösartigen Datenverkehrs identifizieren und stoppen könnten?
"Spam ist wie die Einstiegsdroge, um in der Kette nach oben zu kommen, die Sicherheit Ihrer Plugins zu testen und in Ihre Website einzudringen."
Am Anfang mag Spam wie ein triviales Problem erscheinen. Aber da Spammer Ihre Website stechen und prodizieren, können sie auch nach anderen Sicherheitslücken suchen, die sie ausnutzen können.
Das führt zu Problemen wie Malware-Infektionen oder entführten Suchergebnissen. Diese sind deutlich schädlicher als Spam allein. Aber Spam ist der Anfang.
Verwandt: Was ist Website-Malware? (SiteLock)
WordPress ist für die Erstellung von Websites sehr beliebt. Das bedeutet, dass es auch ein beliebtes Ziel für Spammer und Hacker ist.
Vor ein paar Jahren, WordPress Websites wurden von einem Exploit in XMLRPC ins Visier genommen. Davor, timthumb.php war ein beliebtes Ziel..
Die Methoden zur Erkennung dieser Sicherheitslücken - Crawlen und Scannen von Websites - sind die gleichen wie bei Spammern. Was wir also zur Bekämpfung von Spammern tun, kann auch bei der Bekämpfung aggressiverer Angriffe hilfreich sein.
Vergessen Sie nicht die Rohzugriffsprotokolle.
Raw Access Logs bieten eine vollständige Abschrift des gesamten Traffics, der auf Ihre Website gelangt. Es ist weitaus umfangreicher als alles, was Sie bei solchen wie Google Analytics finden werden.
Wenn Sie bei einem Shared Hosting-Provider sind, Sie können Ihre Zugriffsprotokolle über das Cpanel einsehen.. (Wenn Sie nicht wissen, wo Sie nach Zugriffsprotokollen für Ihre Website suchen sollen, wenden Sie sich an Ihren Hosting-Provider.)
Don schlägt vor, Ihr Rohzugriffsprotokoll herunterzuladen und es dann in einem Tabellenkalkulationsprogramm wie Microsoft Excel oder Google Sheets zu öffnen. Sie werden Spalten sehen, die den folgenden entsprechen:
- IP- oder Hostname, der auf Ihre Website zugreift.
- Uhrzeit und Datum der Verbindung
- Die Ressource, die sie hoch- oder herunterzuladen versucht haben.
- Der Erfolg oder Misserfolg ihres Verbindungsversuchs
- Wie viele Daten sie verwendet haben
- Was sie heruntergeladen haben
- Ihre Referrer-ID (spoofable)
- Ihr User-Agent, z.B. verwendeter Browser (auch spooffähig)
Verwandt: Ernten von cPanel Rohzugriffsprotokollen (verderbliche Presse)
Durch die Korrelation dieser Daten mit anderen Informationen, z. B. was Sie in Ihrem Kommentar-Spam-Ordner findenWordPress, erhalten Sie ein besseres Verständnis dafür, was Spammer auf Ihrer Website tun.
So können sie beispielsweise Ihre Website von einer IP-Adresse aus durchsuchen und dann einen Spam-Kommentar von einer anderen IP-Adresse veröffentlichen.
Wie kann man Spammer aufhalten?
Der erste Schritt ist die Installation eines Sicherheits-Plugins. iThemes Sicherheit und Wortzaun sind zwei empfohlene Optionen. Jetpack beinhaltet auch Sicherheitsfunktionen ("Jetpack Protect").
Hinweis: Lesen Sie die Dokumentation für Sicherheits-Plugins! Du kannst dich versehentlich von deiner eigenen Seite aussperren. (z.B. auf einer Blacklist landen und eine direkte DB-Änderung zur Behebung erfordern.)
Stellen Sie als nächstes sicher, dass Sie Folgendes installiert und aktiviert haben Akismet. Dies wird helfen, Kommentar-Spam von Ihrer Website zu filtern.
Berücksichtigen Sie XML-RPC vollständig deaktivieren. Sie verlieren einige Funktionen von Anwendungen, die auf XML-RPC basieren, aber mit zunehmender Unterstützung der REST-API wird das immer weniger zu einem Problem.
Schließlich, GM Block Bots ist ein WordPress Plugin, das bekannten Ghost-/Referrer-Spam aus Ihren Google Analytics-Berichten filtert.
Von dort aus kannst du mit aggressiveren Taktiken anfangen, deine Sicherheit zu erhöhen.
Eine Methode besteht darin, IP-Adressen zu sperren, von denen bekannt ist, dass sie bösartig sind. Sowohl iThemes Security als auch Wordfence haben Listen mit "bad neighbourhoods", auf die sie sich bei der Bestimmung der zu blockierenden IPs verlassen.
Leider kann das IP-Verbot unschuldige Benutzer betreffen. Wenn Sie z.B. mit viel Spam-Verkehr aus Russland konfrontiert werden, sind Sie vielleicht versucht, alle russischen IP-Adressen zu blockieren. Wenn Sie kein Interesse daran haben, dass Menschen aus Russland Ihre Website besuchen können, sollte dies kein Problem sein. Aber was ist, wenn du auf Russisch bloggst?
Da IPv6 nicht auf Geographie abbildet, funktioniert auch die Idee, bestimmte Regionen "auszublenden" nicht.
Eine weitere beliebte Methode ist die Überwachung und Filterung des eingehenden Datenverkehrs. Wolkenflackern ist ein beliebter Drittanbieter-Service, der dies tut. Wenn Cloudflare verdächtiges Verhalten erkennt, kann er den Besucher der Website bitten, bestimmte Schritte zu unternehmen, um zur Website zu gelangen.
Leider sind diese Arten von Sicherheitschecks nicht einwandfrei und können dazu führen, dass unschuldige Benutzer von Ihrer Website blockiert werden.
Bleib wachsam. Der Krieg gegen Spam wird nie enden.
Es gibt keine Möglichkeit, Spammer vollständig aufzuhalten. Sie werden weiterhin neue Wege finden, um unsere Standorte zu erreichen. Das Beste, was wir tun können, ist, Vorsichtsmaßnahmen zu ergreifen, wachsam zu bleiben und neue Lösungen einzusetzen, sobald sie verfügbar sind.
Nochmals vielen Dank an Don Tai für die Präsentation in diesem Monat! Haben Sie eigene Tipps zur Spam-Bekämpfung? Hinterlasse deine Empfehlungen in den Kommentaren unten.
Bildnachweis: Mike Mozart über Flickr
Großartiger Rückblick auf das Meeting! Ich werde Andy in Kürze die Präsentation zur Verfügung stellen.